Facebooki turvajuht Alex Stamos teatas, et viga selle kahefaktorilises autentimises, mis tähendas, et mõnele kasutajale saadeti teateid tekstisõnumiga, oli viga.
Blogipostituses ütles ta: "Viimane asi, mida me tahame, on see, et inimesed väldiksid kasulikke turvaelemente, kuna nad kardavad, et saavad mitteseotud teatisi. Meie eesmärk ei olnud saata nendele telefoninumbritele turvalisusega mitteseotud SMS-teateid ja vabandan võimalike ebamugavuste pärast, mida need sõnumid võisid põhjustada.
Mõned kasutajad, kes seda viga kogesid, avastasid ka, et kui nad saatsid märguannetele vastuseid, milles palusid neil lõpetada, postitati nende sõnumid Facebooki seintele, et kõik saaksid neid näha. Stamose sõnul ei olnud nendel juhtudel sotsiaalvõrgustiku käitumine viga, vaid pigem funktsionaalsus, millest kasutajad lihtsalt ei teadnud.
„Aastaid, enne nutitelefonide levikut, toetasime Facebooki postitamist tekstisõnumiga, kuid tänapäeval on see funktsioon vähem kasulik. Seetõttu töötame selle funktsiooni peagi katkestamise nimel.
See vabandus kõlab minu jaoks endiselt pisut kahtlane, kuna Facebooki tugilehtedel on öeldud, et selle funktsiooni kasutamiseks peate seadistama Facebooki tekstid. Nagu me allolevas algses loos mainisime, ütles vead esile toonud programmeerija Gabriel Lewis selgesõnaliselt, et pole kunagi tekstisõnumite saatmiseks registreerunud.
Seda öeldes on telefoninumber, millelt Lewis teated sai (32665), sama number, mida Facebook kasutab tekstisõnumite funktsioonide jaoks, nii et kes teab. Loo moraal on see, et kui sa ei taha, et midagi su seinale ilmuks, ära jaga seda kogemata Facebookiga.
Algne lugu jätkub allpool:
Facebooki kontrollitakse kahe olulise vea osas kahefaktorilise autentimise käsitlemisel.
Kahefaktorilist autentimist ehk 2FA-d kasutatakse veebikontodele täiendava turvakihi lisamiseks. Kui logite sisse kasutajanime ja parooliga, genereeritakse teine kordumatu kood, mis saadetakse sageli SMS-iga, et takistada kellelgi teisel kontole juurdepääsu.
Nagu The Verge teatas, märkas USA tarkvarainsener Gabriel Lewis selle nädala alguses, et Facebook saadab tekstiteateid telefoninumbrile, mille ta oli registreerinud ainult nende sisselogimiskoodide saamiseks. Märkimisväärne on see, et ta polnud kunagi valinud tekstisõnumite märguannete lubamise.
LUGEGE EDASI: kuidas lubada Facebookis kahefaktoriline autentimine
Teine viga, mis näib olevat viga, seisneb selles, et kui Lewis vastas tekstidele, milles palus Facebookil nende saatmine lõpetada, postitati tema vastused Facebooki seinale, et kõik tema sõbrad saaksid neid näha. Vigastuse solvamiseks jätkati teateid.
Esimene viga on paljuski murettekitavam, sest näib, et Facebook kasutab kasutajate telefoninumbreid turunduseesmärkidel ilma selgesõnalise loata. Nagu The Verge märgib, annab see alust kohtusse astumiseks USA-s, kus telefonitarbijakaitse seadus keelab ettevõtetel teiega sellisel viisil ilma nõusolekuta ühendust võtta.
See ei tähenda, et ka teise vea tagajärjed poleks olulised. Twitteri kasutaja David Comdico suutis kogu oma perel kogemata põrgusse minna, vastates märguannetele vihasena, mis on ilmselgelt ideaalist kaugel.
Praeguses etapis tundub, et vead on piirkonnapõhised. Tundub, et see ei mõjuta Ühendkuningriigis kedagi. Veelgi enam, kui proovin vastata sisselogimiskoodi SMS-ile, siis tekstsõnumeid lihtsalt ei õnnestu saata, nii et minu Facebooki seinale ei ilmu midagi.
LUGEGE EDASI: selgitatud kahefaktoriline autentimine
Silmapaistev Türgi kirjanik Zeynep Tufekci, kes kritiseeris avameelselt puudusi, küsis, kas see on kedagi ELis mõjutanud, ja selle artikli kirjutamise ajal ei ole keegi vastanud.
Facebook andis meile sama avalduse, mille ta andis The Verge'ile: "Anname inimestele kontrolli nende teatiste üle, sealhulgas need, mis on seotud turvafunktsioonidega, nagu kahefaktoriline autentimine. Uurime seda olukorda, et näha, kas saame rohkem ära teha, et aidata inimestel oma suhtlust hallata.
Suhtlusvõrgustik ei selgitanud, kas automaatne postitamine kasutajate seintele oli viga, samuti väideti, et kasutajad saavad kasutada kahefaktorilist autentimist ilma telefoninumbrit registreerimata, kasutades Facebooki mobiilirakenduse koodigeneraatorit.
Vaadake teemat, kuidas Facebookis kahefaktorilist autentimist lubada (või keelata) Kahefaktoriline autentimine selgitatud: miks peaksite lubama kaheastmelise turvalisuseRaske on ette kujutada, et kumbki vigadest on Facebooki väljamõeldud käigud, eriti pärast seda, kui Mark Zuckerberg andis uue uusaastalubaduse parandada sotsiaalvõrgustiku vead. Saidi Civic Engagementi juht Samidh Chakrabarti teatas hiljuti ka meetmetest, mis aitavad taastada kasutajate usaldust saidi vastu. Selle asemel tundub, et kaks viga on lihtsalt halvimal viisil kokku tulnud.
Siiski, kuni Facebook ei selgita täiendavat teavet selle kohta, kuidas kasutajad said kahefaktorilise autentimise jaoks registreeritud telefoninumbri kaudu teateid, kahtlevad mõned paratamatult, kas see on järjekordne näide sotsiaalse võrgustiku kasvavast meeleheitest kasutajate seotuse suurendamiseks.